Новий вірус NePetya, Petya.A, ExPetya и WannaCry-2

[nickel]

Щойно прийшло у приватну скриньку на укр.нет

[Ha3aP]

ЗАПУСКАЙ ))

[nickel]

Только что, Ha3aP сказал:

ЗАПУСКАЙ ))

Та я б з радістю. Тільки чим? Розширення .rpl

[nickel]

Вже третій лист за останніх пів години такий прийшов на ту саму скриньку. Файли ніби ті самі.

[Zheny@]

12 хвилин тому, nickel сказано:

Та я б з радістю. Тільки чим? Розширення .rpl

це типу звіт

[Zheny@]

апд.

@nickel  юзаєш десь медок чи юзав "бест звіт"?

[nickel]

Только что, Zheny@ сказал:

апд.

@nickel  юзаєш десь медок чи юзав "бест звіт"?

Нікагда

[Zheny@]

знач трыпак.

 

гіперпосилання чи адреса? (я про sta.gov.ua)

 

[nickel]

адреса

 

[Zheny@]

значить таки ломанули.

 

от лише трабла в тому, що sta.gov.ua - ніби уже не існує.

має бути sfs.gov.ua

 

хоча може внутрішній сервер.

 

[nickel]

Вже 4 листи, файли відрізняються. По два листа з кожним файлом. Написав листа на цю адресу, лист пішов без помилок.

В файлі знайшов свій іпн.

 

 

[Lisovic]

Схоже таки на файл з якоїсь з програми звіту. Може десь накосячили зі скринькою, і відповіді пішли на другі скринькі. Якшо цікаво то в понеділок можу глянути які листи медок шле.

[Zheny@]

6 хвилин тому, Lisovic сказано:

Схоже таки на файл з якоїсь з програми звіту.

то і є для медка.

Цитувати

После этого нужно открыть электронный ящик и скачать оттуда квитанции. Это вложенные файлы писем с расширением .RPL или .KVT.

звідси.

[Гість rl72]

Щойно, nickel сказано:

Та я б з радістю. Тільки чим? Розширення .rpl

сонатою

[laser]

Незабудьте забекапитись і видьорнути лан кабель перед відкриттям. Ахаха =))

[nickel]

5 минут назад, laser сказал:

Незабудьте забекапитись і видьорнути лан кабель перед відкриттям. Ахаха =))

Я ж не дурак домашнього компа псувати. Я на роботі відкрию.

[Гість rl72]

Щойно, nickel сказано:

Я ж не дурак домашнього компа псувати. Я на роботі відкрию.

якщо, на робочому компі програма для звітності налаштована на тебе. інакше не відкриється

а так це може бути або квитанція про подану звітність, або розсилка з ДФС про якесь опитування стосовно податкової служби

[nickel]

1 минуту назад, rl72 сказал:

якщо, на робочому компі програма для звітності налаштована на тебе. інакше не відкриється

а так це може бути або квитанція про подану звітність, або розсилка з ДФС про якесь опитування стосовно податкової служби

Я ж смайли ніби ставив.

[natalka)]

2 часа назад, Zheny@ сказал:

..от лише трабла в тому, що sta.gov.ua - ніби уже не існує.

має бути sfs.gov.ua

Це дійсно колишня реальна адреса (sfa від State Administration) . Зараз - sfs.gov.ua (sfs від  State fiscal service) І всі сучасні реальні листи від податкової з розширенням sfs. Хоча, коли зараз в гуглі вбити адресу  sta.gov.ua відбудеться переадресація на реальний діючий сайт ДФСУ http://sfs.gov.ua/

Я навєрно вже всіх задовбала своїми припущеннями, але Державна податкова адміністрація (sta) була до Державної фіскальної служби (sfs), ну і Ви зрозуміли хто її очолював

 

А по змісту листа - брєд що від податкової можуть приходити файли медка...

Ось мій відносно недавній реальний лист від ДФСУ. Сьогодні нічого не приходило, хоча переписуюсь з ними регулярно )

[nickel]

1 час назад, natalka) сказал:

А по змісту листа - брєд що від податкової можуть приходити файли медка...

Старенька в них база, я свого підприємця мінімум 6 років тому як закрив.

Кароч я впевнений, що лист фейковий і в оновленні свіжий Петя. Ніхто не хоче потестити?

[Гість rl72]

5 годин тому, nickel сказано:

Затер лише свій ІПН

 

 

 

 

Нікель, запит про доходи в податкову через IGOV давав? ото тобі й прийшла перша квитанція )))

 

 

 

[nickel]

11 минуту назад, rl72 сказал:

Нікель, запит про доходи в податкову через IGOV давав? ото тобі й прийшла перша квитанція )))

Точно! Було, тестив сервіс. Але ж відповідь на сайті Ігов вже подивився і забувся. Якось невдало Дубілет вибрав час для запуску цього сервісу.

[dj_design]

2017-07-07 11:52:19

M.E.Doc створив оновлення, що забезпечить безпечну роботу в програмі

Про це повідомила СЕО «IT-експерт» Алеся Білоусова. «Сьогодні ми офіційно передали Кіберполіції оновлення 190, яке прибирає шкідливий код (backdoor) з нашого продукту. Після його перевірки Департамент кіберполіції надасть свої висновки, і я сподіваюся, вже завтра ми зможемо його запустити», - зазначила представник компанії. Згадане оновлення містить підвищений захист від вірусу-шифрувальника.

Нагадаємо, раніше в «IT-експерт» заявили, що компанія створила оновлення, яке, виключає потенційні загрози для користувачів. Але запустити його поки не вдалося, оскільки сервери компанії були вилучені в рамках проведення слідчих дій.

 

http://www.medoc.ua/uk/news/medoc-stvoriv-onovlennja-shho-zabezpechit-bezpechnu-robotu-v-program

 

це вони типу самі себе спалили і підтвердили що всетаки "backdoor" був в них в програмі ?

[Zheny@]

2 годин тому, dj_design сказано:

це вони типу самі себе спалили і підтвердили що всетаки "backdoor" був в них в програмі ?

Я ж писав, що багато бібліотек існують таких, які можна вважати бекдор-ом.

Особливо якщо це стосується портів і клієнт-серверних програм. А медок саме такий. І порти юзає і клієнт серверний.

 

наприклад файл hook.dll - він є важливою бібліотекою для багатьох програм. Навіть для windows.

І зачасту, антивіруси вважають його вірусом і блокують.

 

Тому бібліотеку, яку використовував медок для своїх потреб можна було (через вразливість чи ще щось) вважати бекдором.

 

 

 

2 годин тому, dj_design сказано:

M.E.Doc створив оновлення, що забезпечить безпечну роботу в програмі

І я про це писав ще вчора.

Я поставив новий медок 10,01,188. Відкотився в базі з 189 на 188 (скриптом, яким вони ж самі й надали) і бух-и юзають медок далі.

Тепер на черзі оновлення (уже к-поліція його перевіряє).

[difoto]

вот ето поворот...

Департамент кіберполіції Національної поліції України додає 5 нових світлин.Вподобати сторінку

5 липня о 2:25 · 

ПРИКРИТТЯМ НАЙМАСШТАБНІШОЇ КІБЕРАТАКИ В ІСТОРІЇ УКРАЇНИ СТАВ ВІРУС PETYA (DISKCODER.C)

27.06.2017 в 10 годин 30 хвилин українські державні структури і приватні компанії через вразливості ПЗ "M.E.doc." (програмне забезпечення для звітності та документообігу) масово потрапили під удар вірусу-шифрувальника (ransomware) Diskcoder.C (ExPetr, PetrWrap, Petya, NotPetya).

Для локалізації масштабної кіберзагрози, Національною поліцією України та Службою безпеки України було створено оперативно-технічний штаб до якого увійшли представники найвідоміших українських та іноземних компаній з кібербезпеки. За вказаними фактами Національною поліцією України розпочато досудове розслідування.

Експертами було встановлено, що ураження інформаційних систем українських компаній відбулось, через оновлення програмного забезпечення призначеного для звітності та документообігу – “M.E.Doc”.

За отриманими даними (підтверджено правоохоронними органами іноземних держав та міжнародними компаніями, що здійснюють діяльність у сфері інформаційної безпеки), зловмисники здійснили несанкціоноване втручання в роботу одного з персональних комп’ютерів компанії-розробника вказаного програмного забезпечення - ТОВ "Інтелект-Сервіс".

https://blogs.technet.microsoft.com/…/new-ransomware-old-t…/

https://eset.ua/download_fil…/…/Supply-Chain_attacks_ukr.pdf

https://www.welivesecurity.com/…/analysis-of-telebots-cunn…/

Отримавши доступ до вихідних кодів, вони в одне із оновлень програми вбудували бекдор (backdoor) - програму, яка встановлювала на комп'ютерах користувачів “M.E.Doc” несанкціонований віддалений доступ. Таке оновлення програмного забезпечення ймовірно відбулося ще 15.05.2017 року. Представники компанії-розробника “M.E.Doc” були проінформовані про наявність вразливостей в їх системах антивірусними компаніями, але це було проігноровано. Компанія-виробник заперечила проблеми з безпекою і назвала це «збігом».

Разом з тим з’ясовано, що виявлений бекдор за функціоналом має можливість збирати коди ЄДРПОУ уражених компаній, та відправляти їх на віддалений сервер, завантажувати файли, збирати інформацію про операційну систему та ідентифікаційні дані користувачів.

Також, на даний момент відомо, що після спрацювання бекдору, атакери компрометували облікові записи користувачів, з метою отримання повного доступу до мережі. Далі отримували доступ до мережевого обладнання з метою виведення його з ладу. За допомогою IP KVM здійснювали завантаження власної операційної системи на базі TINY Linux.

Зловмисники, з метою приховування вдалої кібероперації щодо масового ураження комп’ютерів та несанкціонованого збору з них інформації, тим же самим способом, через останні оновлення ПЗ “M.E.Doc” розповсюдили модифікований ransomware Petya.

Видалення та шифрування файлів операційних систем, було вчинено з метою видалення слідів попередньої злочинної діяльності (бекдору), та відвернення уваги шляхом імітації вимагання грошових коштів від потерпілих.

Слідством опрацьовується версія, що справжніми цілями були стратегічно-важливі для держави компанії, атаки на які, могли дестабілізувати ситуацію в країні.

Комплексний аналіз обставин зараження дозволяє припустити, що особи які організували напади з використанням WannaCry можуть бути причетні до вірусної атаки на українські державні структури і приватні компанії 27 червня, оскільки способи розповсюдження та загальна дія подібні вірусу-шифрувальнику (ransomware) Diskcoder.C (ExPetr, PetrWrap, Petya, NotPetya).

З метою негайного припинення безконтрольного розповсюдження Diskcoder.C (нову активність було зафіксовано сьогодні) і встановлення злочинців, прийнято рішення про проведення обшуків і вилучення програмного та апаратного забезпечення компанії ТОВ "Інтелект-Сервіс", за допомогою якого розповсюджувалось ШПЗ. Вилучене обладнання буде направлено для проведення детального аналізу, з метою дослідження та розробки інструментів, що дозволять виявити заражених користувачів і нейтралізувати шкідливий код. Під час обшуку керівництво та працівники компанії повністю сприяють у проведенні слідчих дій.

Департамент кіберполіції наполегливо рекомендує усім користувачам, на час проведення слідчих дій, припинити використовувати ПЗ “M.E.Doc” та відключити комп’ютери, на яких воно встановлено від мережі. Також необхідно змінити свої паролі та електронні цифрові підписи, в зв’язку з тим, що ці дані могли бути скомпрометовані.

Найближчим часом на сайті будуть опубліковані інструкції для перевірки на наявність бекдор (backdoor) на Вашому комп’ютері.